作为安全性最佳做法,请根据 VMware 建议在 vRealize Automation 系统上设置审核和日志记录。

将日志远程记录到中央日志主机可以安全地存储日志文件。通过将日志文件收集到中央主机,可以通过单个工具监控环境。此外,还可以执行汇总分析和搜索威胁痕迹,例如对基础架构内多个实体的协同攻击。将日志记录到安全的集中式日志服务器不但有助于防止日志被篡改,而且能够提供长期的审核记录。

确保远程日志记录服务器安全可靠

通常,攻击者在破坏主机安全之后,会尝试搜索并篡改日志文件,以掩盖其攻击行为并保持控制而不被发现。保护远程日志记录服务器有助于防止日志被篡改。

使用授权的 NTP 服务器

确保所有主机均使用相同的相对时间源(包括相关本地化偏移),且相对时间源可与商定的时间标准(如协调世界时 (UTC))相互关联。使用规范时间源可以在检查相关日志文件时快速跟踪和关联入侵者的操作。不正确的时间设置可能难以检查和关联日志文件以检测攻击,且可能使得审核不准确。

至少使用三个外部时间源 NTP 服务器,或在受信任的网络上配置一些本地 NTP 服务器,以便至少从三个外部时间源获取时间。